12 formas de asegurar que su sitio web de WordPress haya pasado por alto

La seguridad de WordPress a menudo se llama “refuerzo”. Tiene sentido. Después de todo, el proceso es como agregar refuerzos a su castillo. Todo es para fortalecer las puertas y colocar vistas en cada torre. Pero este término no siempre le permite lograr los detalles que contribuyen a mejorar la seguridad del sitio. Incluso si no ha hecho casi nada para mejorar la seguridad de su sitio, es probable que tenga al menos familiaridad superficial con algunas tácticas populares. También es posible haber oído hablar de un complemento o dos que pueda liderar el trabajo. Sin embargo, no hablaremos de estas cosas hoy.
Este artículo se centrará más directamente en las formas en que puede asegurar al administrador de su sitio y, más precisamente, en las formas que no se discuten y nuevamente en cada lista. Porque la seguridad es muy importante. ¿Sabía que el 73% de los sitios populares que usaban WordPress se consideraban “vulnerables” en 2013? ¿O el de los primeros 10 complementos más vulnerables, cinco eran complementos comerciales disponibles para su compra? Peor aún, uno de estos cinco complementos era en realidad un enchufe de seguridad, que es simplemente, bueno, bastante horrible.

A medida que WordPress continúa creciendo como plataforma, la seguridad no es algo que deba descuidarlo.Si bien la instalación básica de WordPress es muy fácil de usar y relativamente segura, cuanto más se agrega a través de complementos, temas y código personalizado, más probabilidades tendrá de ser pirateado.Y cuanto más los usuarios agregan a cualquier instalación dada, la probabilidad aumenta aún más.Estas son malas noticias para individuos y empresas, también.Dado esto, pasar un tiempo hoy explorando las 12 formas en que puede asegurar su trasero de su sitio para asegurarse de que su información (y sus clientes) sigan siendo seguros.
Lo que ya debería saber que sé que acabo de decir que no hablaré aquí sobre las soluciones de seguridad a las que se hace referencia con más frecuencia, pero si alguien que lea esto no está bien versado en WordPress, sería negligente si no las enumeraría al menos . Incluso si usted es un WordPress profesional, tener esta lista a la que consultar puede ser útil al configurar estrategias de seguridad en sus sitios. Mantenga WordPress actualizado. Algo tan simple puede tener un gran impacto en la seguridad del sitio. Siempre que se conecte al tablero y vea el banner de “actualización disponible”, haga clic en él y actualice el sitio. Si le preocupa que algo se esté rompiendo, haga una copia de seguridad antes de instalarla. Es importante hacerlo y regularmente. La información sobre cualquier agujero de seguridad que se haya remediado en la versión anterior ahora está disponible para el público, lo que significa que un sitio obsoleto es aún más vulnerable.
Mantenga complementos y tarea. A medida que actualiza regularmente WordPress Core, también debe actualizar complementos y temas. Cada complemento y tema instalado en su sitio es como una puerta trasera en el administrador de su sitio a menos que estén correctamente asegurados (verificados completamente, actualizados en una puerta abierta regular a su información personal. Elimine cualquier complemento o tema que no use. En la misma línea de pensamiento que las mencionadas anteriormente, la eliminación de cualquier complemento o temas que no necesita reducirá la probabilidad de ser pirateado. Si no los usa, no querrá actualizarlos, por lo que es una idea mucho mejor eliminarlos. Leer: Desactivar complementos no es suficiente; Debe hacer clic en “Eliminar”. Descender solo complementos y temas de fuentes conocidas. Cuando pueda, descargar complementos y temas de WordPress.org es en realidad la mejor apuesta, ya que serán completamente escaneadas antes de ser admisibles en el tema o en el director de arados. Si desea un tema o complemento premium, descárguelos solo de fuentes de renombre como Themeforest o del sitio web de un desarrollador muy respetado. Cambie sus archivos para obtener archivos. Evite configurar los directorios de permiso 777. Debe optar por 755 o 750, según WordPress.org. Mientras esté en esto, configure los archivos en 640 o 644 y wp-config.php a 600.
No use “Admin” como nombre de usuario. Si ya ha instalado WordPress usando “Admin” como nombre de usuario o algo muy simple, puede cambiarlo ingresando una consulta SQL o siguiendo las instrucciones presentadas en nuestra última publicación sobre este tema. Cambie su contraseña con frecuencia (y hágalo bien). Las mejores filas aleatorias de letras y números son. Si no desea encontrar algo manual, puede usar un generador de contraseñas para realizar tareas como el generador de contraseñas de Norton o el generador de contraseñas seguras. La libertad condicional ha recibido un tratamiento especial para la versión futura de WordPress 4.3 y será fuerte.
Asegúrese de que sus usuarios estén configurando el nombre de usuario y las contraseñas potentes. Todo está bien si crea un buen nombre de usuario y contraseña, pero si los usuarios no lo hacen, sus esfuerzos personales no contarán y su sitio será tan vulnerable.

Agregue la autenticación en dos pasos. Una muy buena manera de evitar ataques de fuerza bruta es configurar la autenticación de dos pasos. Esto significa que se requiere una contraseña más un código de autorización que se envía al teléfono para conectarse al sitio. A menudo, el segundo código de conexión es enviado por SMS. Se pueden usar más complementos para agregar esta función, incluidos Clef, Google Authenticator y Duo de autenticación de dos factores. Instale un firewall en su computadora. Es un paso extra, sí, pero fácil de hacer. Y una vez instalado, ofrece otro nivel de protección contra piratas informáticos y violaciones de seguridad. Algunos proveedores de software de firewall para verificar incluyen Comodo, Norton Internet Security y Zonălarm Firewall gratuito.
Limite las conexiones. El ataque de la fuerza bruta es la táctica número 1 para los piratas informáticos. Si los permite, intentarán autenticarse en su sitio una y otra vez, hasta que rompan su contraseña. Es por eso que se llama “fuerza bruta”, porque el ataque es cruel. Sin embargo, hay complementos que le permiten limitar la cantidad de veces en las que una persona de una IP en particular puede intentar autenticarse en un período de tiempo asignado. El usuario tiene restricciones para intentar autenticarse nuevamente durante un cierto período de tiempo. El bloqueo es excelente para proporcionar esta función, pero otros complementos que ofrecen un conjunto completo de funciones de seguridad a menudo incluyen la limitación de la autenticación, como los jugos de seguridad y seguridad de Ithemes. Limen el acceso del usuario. A veces, la seguridad del sitio está controlada debido a algo muy simple: dar acceso a demasiadas personas. Una buena regla general es dar acceso solo a aquellos que lo necesitan absolutamente e, incluso entonces, darles solo los permisos mínimos requeridos para realizar sus tareas asignadas. Dar permisos administrativos a todos los colaboradores significa solo problemas. Copia de seguridad para su sitio No me refiero solo de vez en cuando. Es decir, predecible en un programa. Las copias de seguridad programadas son una parte esencial de la estrategia de seguridad de cualquier sitio, porque si su sitio está comprometido, podrá restaurarlo fácilmente a una versión antes del daño. Elija una solución automatizada como VaultPress, BlogVault, BackupBuddy o WordPress Backupbox para opciones simples de repuesto y restauración.
Verifique la autenticidad del tema y realice escaneos de seguridad. A medida que instala el software antivirus informático para verificar si hay malware, también debe instalar un escáner de WordPress. Un escáner de seguridad verificará si hay códigos maliciosos en arados, archivos básicos y complementos para garantizar que no se haya alterado nada. Hay varios escáneres que puede considerar, incluidos Sitecheck, CodeGuard, Tema de autenticidad y jugos antivirus. Ahora que hemos analizado las cosas que ya debe saber sobre la obtención de un sitio web de WordPress, podemos pasar a algunas de las cosas más oscuras, así como a las que quizás aún no haya pensado. Pero primero, asegúrese de crear un tema infantil antes de hacer cualquier cambio en las funciones.php. 1. Reduzca el uso de complementos. Sé que ya he mencionado en la lista anterior que debe eliminar los complementos y los temas que no usa. Pero vale la pena señalar que debe hacer un esfuerzo para limitar el número total de complementos que instala primero. Para mantener su sitio seguro, debe ser escrupuloso en los criterios que utiliza para seleccionar complementos. No se trata solo de seguridad. También se trata de la velocidad y el rendimiento del sitio. Cargar su sitio con demasiados complementos puede ralentizarlo dramáticamente. Entonces, si su sitio puede funcionar sin un complemento en particular, omitirlo. O bien, busque complementos que marquen más elementos de la lista de funciones obligatorias. Cuanto menos complementos tenga, menos posibilidades de que les brinde para acceder a su información.
¿Cuántos complementos realmente necesitas?2. No descargue complementos premium de forma gratuita, aunque entiendo perfectamente lo que significa ser un hombre de negocios con un presupuesto, es una mala idea tratar de descargar complementos premium desde cualquier lugar, excepto donde soy oficial para la venta.Sin embargo, es desagradable descargar complementos pirateados, pero si necesita más desánimo que eso, los complementos totalmente legítimos a menudo son corruptos con malware cuando alcanzan estos sitios de descarga ilegales.Esto significa que lo que alguna vez fue un excelente complemento premium con un código excelente es ahora la línea directa de un hacker en el fondo de su sitio.¿Y para qué?Todo porque querías ahorrar un dólar rápido.
Las versiones ilegales de los complementos premium generalmente contienen código malicioso. Omita descargas ilegales y torrentes, buenas personas. Simplemente no lo hagas. 3. Considere las actualizaciones básicas automáticas que ya hemos hablado sobre la importancia de actualizar la instalación de WordPress cada vez que se lanza una nueva versión, pero vale la pena repetirse. De hecho, si ejecuta una versión anterior de WordPress que la actual, todos los defectos de seguridad en la versión que ejecuta son conocidos por el público. Esto significa que los piratas informáticos también tienen esta información y pueden usarlos fácilmente para atacar su sitio. Pero actualizar su sitio puede no ser suficiente, especialmente si no hace que el sitio sea un hábito regular. En estos casos, cuanto más pueda hacer estas tareas, mejor. Aunque admito que no es para todos, las actualizaciones automáticas podrían ser una buena opción para aquellos que desean adoptar un enfoque más simple para la gestión del sitio, pero también desean un sitio seguro. La gran aún requiere aprobación. Desde WordPress 3.7, las actualizaciones menores de WordPress tienen lugar automáticamente. Pero las actualizaciones importantes siguen siendo algo que debe aprobar. Sin embargo, puede ingresar un poco de código en el archivo WP-Config.php para configurar su sitio para instalar automáticamente las principales actualizaciones principales.
No se vuelve mucho más simple. Simplemente ingrese esto en el archivo y las principales actualizaciones básicas se llevarán a cabo en segundo plano sin la necesidad de su aprobación:

Cargue el esencial 1AE341A8798F8BD90436

Sin embargo, tenga en cuenta que las actualizaciones automáticas pueden destruir su sitio, especialmente si ejecuta un complemento o un tema que no es compatible con la última versión. Sin embargo, la configuración de actualizaciones automáticas puede merecer el riesgo si no se conecta regularmente a su sitio. 4. Establezca los complementos y los temas para actualizar ahora ahora me doy cuenta de que no es para todos, pero vale la pena mencionarlo de todos modos. Por lo general, los complementos y los temas son cosas que tendrá que actualizar manualmente. Después de todo, las actualizaciones se lanzan en diferentes momentos para cada uno. Pero nuevamente, si no es alguien que hace del sitio algo normal, es posible que desee configurar actualizaciones automáticas, para que todo se mantenga actualizado, sin requerir su intervención inmediata. Las actualizaciones automáticas para complementos y temas son otra cosa que puede configurar insertando un poco de código en wp-config.php. Para complementos que usará: Cargue el esencial 71CA2648D1C8315E27D8

Para temas, use:

Cargue el esencial B2BF524C6DF67CE519CC
5. Elimine el complemento y el editor de temas si usted es el tipo de desarrollador que generalmente realiza cambios y ajustes a los complementos y temas, entonces puede ignorar esta sección. Pero si no usa regularmente el complemento Built -in y el editor de temas en el tablero de WordPress, es mejor deshabilitarlo por completo. ¿Por qué? Debido a que los usuarios autorizados de WordPress tienen acceso a este editor y si sus cuentas están rotas, el editor puede usarse para eliminar un sitio completo solo modificando el código que se encuentra allí. Por lo tanto, puede eliminar este editor insertando otro bit de código en el archivo wp-config.php. Sigue siendo simple: Cargue la idea E5A386E2F9431065FC0
6. Elimine el error de PHP informando el refuerzo de refuerzo de la seguridad del sitio de backend tiene mucho que ver con los agujeros de cierre o las debilidades. Ahora, si un complemento o tema no funciona correctamente, podría crear un mensaje de error. Esto es definitivamente útil cuando resuelve problemas, pero aquí está el problema: estos mensajes de error a menudo incluyen la ruta de su servidor. Los piratas informáticos solo deben ver sus informes de error para obtener la ruta completa del servidor, lo que significa que los entregará la esquina y la esquina de su sitio en un sitio. bandeja de plata. No importa cuán útil sea el informe de los errores, es una mejor idea desactivarlo por completo. Este es otro fragmento de código que se agregará a wp-config.php.
Se carga el C9AED06C1CFBADA22A09 esencial
7. Proteja los archivos más relevantes usando .htaccess Si está interesado en la seguridad de WordPress, ha oído hablar del archivo .htaccess y probablemente lo haya accedido. Sin embargo, los cambios que realiza en este archivo pueden tener un gran impacto en la seguridad de todo el sitio que no puedo detenerlo de la lista. ¿Por qué es tan importante este archivo? Está en el centro de WordPress y afecta directamente cómo su sitio estructura los enlaces permanentes y la forma en que administran la seguridad. Puede insertar muchos fragmentos de código diferentes en el archivo .htaccess en cualquier lugar fuera de las etiquetas #Begin WordPress y #ind WordPress para cambiar qué archivos son visibles en su sitio. Estos fragmentos provienen directamente del códice de WordPress. Para empezar, querrá ocultar wp-config.php porque es un centro central para su sitio e incluye su información personal y muchos otros detalles de seguridad. Ocultarlo agregando este bit de código a .htaccess: Cargue la idea D832B2B200E0FD9254
También puede restringir el acceso del administrador creando un nuevo archivo .htaccess y cargándolo en el directorio WP-Admin. Luego ingresará el siguiente código:
Cargue los esenciales 71084ceef72e326f64b7
Ingrese su propia dirección IP en el lugar correcto. Puede pagar el acceso a WP-Admin desde varias direcciones IP, enumerándolas desde la dirección IP, cada una en una nueva línea. Puede restringir el acceso a WP-Login.php de la misma manera. Simplemente agregue el siguiente código a .htaccess:
Cargue la idea 64072C70C8F54355BC53
Si no desea bloquear cada IP, pero por su cuenta, y en su lugar desea bloquear solo a ciertas personas que intentan acceder a WP-Admin o WP-Login.php, puede hacerlo bloqueando esas direcciones IP individuales, utilizando esto Código: el esencial FF3D136AAC429F1CAC24 está cargado
Otra forma de evitar que las personas vean los directorios de su sitio es hacer que no sean navegables. Este simple fragmento de código hará un truco:
Cargue la idea 42B632EF511A668EA40C
Hay muchas otras formas de cambiar .htaccess para aumentar la seguridad de su sitio, escribí en general sobre ellas aquí, pero estas son los más importantes que debe implementar. 8. Esconte el nombre de usuario del autor Si la configuración predeterminada de WordPress permanece intacta, es muy fácil averiguar el nombre de usuario de cada autor para su sitio y porque, la mayoría de las veces, el autor principal de un sitio es el administrador, es Fácil de descubrir el nombre de usuario del administrador. Que no es bueno. Cada vez que proporciona información a los piratas informáticos, corre el riesgo de ver su sitio comprometido. Según Dreamhost, es una buena idea ocultar el nombre de usuario del autor para asegurarse de que no sea más fácil trabajar. Para hacer esto, todo lo que tiene que hacer es agregar un código a su sitio una vez insertado, este código lo hará cuando alguien entra? Autor = 1 Después de la URL principal, no se presentará con la información del administrador y se enviará de regreso a tu página inicial. Simplemente copie e inserte lo siguiente en el archivo functions.php:
Cargue la idea 73C2654C6E0D872E251D
9. Siga la actividad en el tablero si tiene muchos usuarios en su sitio, podría ser una buena idea seguir lo que hacen en el tablero.No es que sospeche de ellos en un acto incorrecto, pero a veces, cuando tiene muchas personas involucradas en su sitio, un simple paso incorrecto puede conducir a algo.Por lo tanto, el registro de la actividad en el tablero es tan útil: le permite seguir los pasos del usuario hasta el punto de romper el sitio.Incluso puedes dar tus propios pasos.Esto también es excelente para la seguridad porque le permite conectar los puntos entre una determinada acción y una cierta reacción.Entonces, si un archivo cargado en particular ha causado la rotura de su sitio, aún puede investigarlo para ver si contiene código malicioso. Una excelente opción gratuita para verificar la actividad en su sitio.
Sí, WordPress registra automáticamente esta información, pero no es fácil de usar. Es una idea mucho mejor usar un complemento para organizar todos esos datos. Por lo tanto, puede ver si la instalación de un complemento en particular, haciendo que un cierto código cambie o cargando un archivo ha causado el problema que está experimentando. Pero incluso si no se trata de un problema del sitio, la posibilidad de ver lo que sus usuarios hacen en su sitio en cualquier momento puede darle algo de paz. Según Pagely, un buen complemento para verificar es el registro de auditoría de seguridad de WP. Este complemento gratuito mantiene un diario con todo lo que sucede en la parte posterior de su sitio, por lo que puede ver fácilmente lo que hacen los usuarios y los piratas informáticos. Este complemento evita que todo cree un nuevo usuario hasta el manejo de archivos a cambios publicados publicados. Si ese complemento no lo hace por usted, hay otros disponibles, incluido el Journal of actividades y la historia simple, que vale la pena verificar. 10. Ocultar la página de conexión Aunque la seguridad que se centra en la oscuridad no está completa, sigue siendo una parte importante de su estrategia general. Después de todo, ocultar ciertos elementos de su sitio no evitará que los piratas informáticos accedan a ellos, sino que dificultará su acceso. Y eso está bien, ¿verdad? Bloquear y bloquear a los intrusos con este complemento gratuito.
Reducir o cambiar el nombre de su página de autenticación es una forma rápida de dificultarle a un hacker. Los ataques de fuerza bruta generalmente se automatizan, por lo que si su página de autenticación es diferente de www.websitename.com/wp-admin o www.websitename.com/wp-login.php, entonces será muy difícil atacar. Hay muchos complementos que hacen este simple cambio para usted, incluido el administrador WP de bloqueo, así como algunos de los principales complementos de seguridad de WordPress. Nuestro propio complemento de seguridad de defensa también ofrece autenticaciones de enmascaramiento y más. 11. Elija el mejor alojamiento que pueda pagar. De hecho, los expertos en seguridad de WP White Security informaron que el 41% de los sitios de WordPress se han roto debido a la vulnerabilidad de seguridad de un anfitrión. Es casi la mitad, lo que significa que tienes que hacer algo con tu plan de alojamiento lo antes posible. Si desea usar Shade Shared, asegúrese de que su plan incluya el aislamiento de la cuenta. Esto obstaculizará el sitio web de otra persona en el servidor que afecte el suyo de cualquier manera. Pero creo que es una idea mucho mejor usar un servicio que se dirige directamente a WordPress. Es más probable que un proveedor de alojamiento administrado que se especialice en WordPress incluya Firewall actualizado, PHP y MYSQL, escaneo de malware regular, un servidor diseñado para ejecutar WordPress y un equipo de servicio al cliente que conoce a WordPress dentro y en el exterior.
Para alojar el hogar de WordPress, seguro y dedicado, que puede satisfacer todas sus necesidades, consulte el alojamiento de WordPress desde WPMU Dev. 12. Mantenga su computadora actualizada, los piratas informáticos pueden obtener acceso a su sitio debido a vulnerabilidades de seguridad. La mejor manera de combatir esto es mantener su computadora actualizada. Cuando se inician correcciones de software, instálelas. Cuando se inicia un nuevo sistema operativo, haga todo lo posible para actualizar lo antes posible. No olvide mantener su computadora actualizada.
También asegúrese de usar el software antivirus de forma regular. Puede ejecutar software antivirus gratuito como Avast, antivirus gratuito de Panda, Comodo o AVG para ver si hay virus o malware en su computadora y eliminarlos. Terminar la seguridad de un sitio de WordPress significa mucho más que instalar un enchufe y salida de seguridad. Hay tonos sutiles que completan una estrategia completa. Algunos probablemente antes, pero espero que algunos fueran nuevos descubrimientos. A veces, las cosas simples que aún no has pensado son las que marcan la diferencia entre una estrategia de seguridad mediocre y una excelente.
¿Cuáles son algunas cosas que hace para asegurar sus sitios de WordPress? Escapé un detalle de aquí, ¿quién crees que es vital? Siéntase libre de llamar a los comentarios a continuación.
Etiquetas:
administración
Seguridad de WordPress